Регистрация Войти
Рейтинг:1
avatar Server

Google Cloud — Соответствие требованиям Hipaa — PgAudit и журналы аудита IAM

флаг cn
Shawn Northrop

Наша инфраструктура размещена в Google Cloud и использует экземпляры postgresql через Cloud SQL.

Мне нужно настроить ведение журнала для соответствия HIPAA. Я прочитал 2 статьи из документации Google:

https://cloud.google.com/logging/docs/audit/configure-data-access#config-console https://cloud.google.com/sql/docs/postgres/pg-audit#overview

В первом говорится о включении журналов аудита из IAM, здесь я могу выбрать Cloud SQL и включить журналы r+w для данных и администраторов.

Второй говорит о PgAudit и устанавливает следующий флаг pgaudit.log=все

У меня есть пара вопросов:

  1. Чем отличаются журналы IAM и PgAudit, следует ли включать оба или это создает избыточность?
  2. Для соответствия требованиям HIPAA с помощью PgAudit следует ли регистрировать все или есть другое значение, которое имеет смысл
134
0 + 0
Рейтинг:1
Mousumi Roy avatar Server
флаг us
Mousumi Roy

Чтобы ответить на первый вопрос:

Для IAM доступны два типа журналов аудита:

  1. Журналы аудита действий администратора: Включает операции «администраторской записи», которые записывают метаданные или информацию о конфигурации. Вы не можете отключить журналы аудита действий администратора.
  2. Журналы аудита доступа к данным: включает операции «чтения администратором», которые считывают метаданные или информацию о конфигурации. Также включает операции «чтение данных» и «запись данных», которые считывают или записывают предоставленные пользователем данные. Чтобы получать журналы аудита доступа к данным, вы должны явно включить их.

Эти журналы в основном используются для аудита административные и ремонтные работы выполняется на экземпляре Cloud SQL.

Напротив, аудит базы данных в Cloud SQL для PostgreSQL доступен через расширение pgAudit с открытым исходным кодом. Используя это расширение, вы можете выборочно записывать и отслеживать операции SQL, выполняемые с данным экземпляром базы данных. Расширение предоставляет вам возможности аудита для мониторинга и записи выбранного подмножества операций. Расширение pgAudit применяется к выполненные SQL-команды и запросы. Для получения подробной информации вы можете обратиться к соединять.

 
И чтобы ответить на второй вопрос:

Расширение аудита PostgreSQL (pgAudit) обеспечивает подробное ведение журнала аудита сеансов и/или объектов с помощью стандартного средства ведения журнала PostgreSQL. Цель pgAudit — предоставить пользователям PostgreSQL возможность создавать журналы аудита, часто необходимые для соответствия правительственным, финансовым или ISO-сертификатам.

pg.auditlog может принимать значения read, write, function, role, ddl, misc, misc_set, all, none. Вы можете указать несколько классов, используя список, разделенный запятыми, и вычесть класс, поставив перед классом знак -. По умолчанию нет.

Базовое ведение журнала операторов может быть обеспечено стандартным средством ведения журнала с log_statement = all.Это приемлемо для мониторинга и других применений, но не обеспечивает уровень детализации, обычно требуемый для аудита. Недостаточно иметь список всех операций, выполненных с базой данных. Должна быть также возможность найти конкретные заявления, представляющие интерес для аудитора. Стандартное средство ведения журнала показывает, что запросил пользователь, в то время как pgAudit фокусируется на деталях того, что произошло, пока база данных удовлетворяла запрос.

Для соответствия HIPAA в технических мерах защиты упоминается введение журналов активности и средств контроля аудита. Вы можете обратиться к соединять Больше подробностей.

0 + 0
Рейтинг:1
Gourav B avatar Server
флаг in
Gourav B

Как упоминалось в эта ссылка поделился @Mousumi, ПгАудит Рекомендовано.

Рекомендуемым методом аудита в Cloud SQL для PostgreSQL является расширение pgAudit; видеть Аудит для PostgreSQL с помощью pgAudit.

Также, как упоминалось здесь, для Cloud SQL и других поддерживаемых продуктов Google будет заключать соглашения о деловом партнерстве (BAA) с клиентами по мере необходимости в соответствии с HIPAA. Однако в конечном итоге клиенты сами несут ответственность за оценку своего соответствия HIPAA из-за отсутствия каких-либо сертификатов, признанных HHS США для HIPAA.

0 + 0
флаг Moldova
Admin
Этот вопрос на других языках:

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.